Nie będzie miało znaczenia czy dany podmiot, udzielający świadczeń zdrowotnych, będzie publicznym czy niepublicznym zakładem opieki zdrowotnej. Nie będzie miała znaczenia także skala działalności takiego podmiotu. RODO dotyczy dużych szpitali, zatrudniających wielu lekarzy, pielęgniarki i położone oraz gabinetów lekarskich, w których przyjmuje jeden lekarz.

Regulacje prawne, dotyczące ochrony danych osobowych, wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: Ogólne rozporządzenie o ochronie danych lub RODO, znajdą zastosowanie również w przypadku podmiotów udzielających świadczeń zdrowotnych.

Nie będzie przy tym miało znaczenia czy dany podmiot, udzielający świadczeń zdrowotnych będzie publicznym czy niepublicznym zakładem opieki zdrowotnej. Nie będzie miała znaczenia także skala działalności takiego podmiotu. RODO dotyczy dużych szpitali, zatrudniających wielu lekarzy, pielęgniarki i położone oraz gabinetów lekarskich, w których przyjmuje jeden lekarz.

Zgodnie z motywem nr 35 Ogólnego rozporządzenia o ochronie danych osobowych, do danych osobowych, dotyczących zdrowia, należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.

Dane takie są gromadzone przez wszystkie podmioty udzielające świadczenia zdrowotne i obejmują:

- informacje o danej osobie fizycznej, zbierane podczas jej rejestracji do zdrowotnej szpitala czy przychodni lub podczas świadczenia jej usług opieki zdrowotnej;
- numer, symbol lub oznaczenie przypisane danej osobie fizycznej, w celu jednoznacznego jej zidentyfikowania do celów zdrowotnych;
- informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych;
- oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.


Co do zasady, na podstawie art. 9 ust. 1 RODO, zabrania się przetwarzania danych osobowych dotyczących zdrowia danej osoby. Tak więc na przykład przychodnia nie może udostępnić takich danych osobowych firmie farmaceutycznej lub prywatnej klinice, która nie udziela danemu pacjentowi świadczeń zdrowotnych.

Natomiast możliwe będzie przetwarzanie danych, polegające na przekazaniu przez stację ratownictwa medycznego zgromadzonych danych osobowych dotyczących zdrowia pacjenta szpitalowi, do którego skierowany będzie ten sam pacjent w związku z kontynuację jego leczenia.

Wyjątki od tej zasady przewiduje natomiast art. 9 ust. 2 RODO, stanowiący, iż zakaz ten nie ma zastosowania, jeżeli spełniony jest choćby jeden z poniższych warunków:

1.Przetwarzanie danych osobowych, dotyczących zdrowia, będzie możliwe, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewiduje, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1.

2.Nowością wprowadzoną przez przepisy Ogólnego rozporządzenia o ochronie danych osobowych jest wymóg, aby zgoda na przetwarzanie danych osobowych była wyrażona w konkretnym, a nie ogólnym celu – na przykład przeprowadzenia konkretnego zabiegu. Trudno sobie jednak wyobrazić, aby w niektórych, szczególnie pilnych i realnie zagrażających życiu przypadkach podczas, których udzielane są świadczenia zdrowotne w pierwszej kolejności od pacjenta były odbierane zgody na przeprowadzenie kilku lub kilkunastu badań i zabiegów.

Zgodnie z art. 9 ust. 2 lit. h) RODO, zakaz przetwarzania danych osobowych, dotyczących zdrowia, nie dotyczy sytuacji, gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3.

Natomiast zgodnie z art. 9 ust. 3 RODO dane osobowe, dotyczące zdrowia osoby, której dotyczą mogą być przetwarzane do celów związanych z leczeniem i opieką zdrowotną (art. 9 ust. 2 lit. h RODO), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

Lekarz oraz lekarz dentysta w myśl art. 40 ust. 1 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu. Analogiczna regulacja znajduje się w art. 17 ust. 1 ustawy z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej, stanowiącym, iż „Pielęgniarka i położna są obowiązane do zachowania w tajemnicy informacji związanych z pacjentem, uzyskanych w związku z wykonywaniem zawodu”.

Wydaje się, iż dopuszczalne będzie również przetwarzanie danych osobowych dotyczących zdrowia w oparciu o art. 9 ust. 2 lit. c) RODO w razie nagłych wypadków zagrażających życiu, gdy takie przetwarzanie danych osobowych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Nie może budzić wątpliwości, iż do żywotnych interesów osoby uczestniczącej np. w wypadku komunikacyjnym, która straciła świadomość i nie jest w stanie wyrazić zgody na przetwarzanie swoich danych osobowych należy ochrona jej życia i zdrowia.

Dane osobowe pacjentów będą mogły być przetwarzanie także w tych przypadkach, gdy jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;

Autor: mecenas Patryk Fiks, Kancelaria Adwokacka OBLIGO & Krauss